パスワードの定期的変更問題についての武田圭史の立場
-
keijitakeda
- 5832
- 1
- 1
- 3
-
- いいね!3
keijitakeda
@keijitakeda
@kitagawa_takuji こちらも→2013年9月25日「パスワードのリスト攻撃への対策として「ID・パスワードを定期的に更新」が、強調されているような印象を受けましたが、これは本質的な対策とは言い難い気がします。(有効な場合もあるし有効でない場合もある。更新間隔次第)」
2014-09-06 14:16:51
keijitakeda
@keijitakeda
@kitagawa_takuji そうですね。正直これまでにTwitterでいただいている意見はほぼ私がWGで指摘した内容と同じです。では本当に推奨することに意味はないのかあるは弊害が大きいかということについてはそこまでの確証が得られていない状況です。
2014-09-06 14:52:35
keijitakeda
@keijitakeda
結局「強いPW」「サイト毎違PW」「PW(不)定期変更(強制無し)」のそれぞれの対策バランスが重要とかいういかにもありがちな結論になりそうな予感。
2014-09-08 08:41:38
keijitakeda
@keijitakeda
@tss_0101 失礼しました。なるほど。その件の今のところの私の結論は「パスワード強度、サイト毎に変える、時々変える」についてサービス特性に応じたバランスの良い対策が必要という感じでしょうか。ちなみに不定期でもOKだと思っています。(便宜上定期的という表現が使われていると)
2014-09-17 22:53:59
keijitakeda
@keijitakeda
パスワードリスト型攻撃の脅威に対する注意喚起として「充分な長さ、複雑性を備えたパスワードにする」はパスワード定期変更以上に効果がないと思うけどな。
2014-10-11 20:19:17
keijitakeda
@keijitakeda
@pseudoidentifie 漏洩の発生確率を高く悪用までの期間を長く見積もれば定期変更の有効性が高くなり、漏洩の発生確率を低く悪用までの期間を短く見積もれば定期変更の有効性は低くなります。
2014-10-12 09:43:38
keijitakeda
@keijitakeda
@nut320 パスワード認証の前提として、強度、使い回さない、定期変更のいずれも一定の必要性がありバランス良く対策する必要があると考えています。最近この中で特に、定期変更が無意味とかその呼びかけが悪いことのように言われるのでその点について問題意識を持って発言しています。
2014-10-12 17:03:07
keijitakeda
@keijitakeda
パスワード定期変更の最大の問題点はしばらく使ってないと自分でパスワードがわかんなくなってしまうことなんじゃないかな。
2014-10-13 23:11:23
keijitakeda
@keijitakeda
パスワードの定期変更の実際の運用は困難なことは私も承知しており、自分もそれほど頻繁に変更しているわけではありません。だからといって定期変更の効果が無意味であるとか、かえって弱くなるという理由を無理矢理設ける必要はないと思っています。(本当にそう思っている人もいるとは思いますが)
2014-10-14 07:15:25
keijitakeda
@keijitakeda
つまりパスワード運用のべき論(理想状態)を定義するにあたって現実の運用が困難な状況を理由に理想とする状態を変えるべきではないと考えています。それは「変化しないパスワード」を前提とすることで従来のパスワード認証というメカニズムの本質を変えてしまうことになるからです。
2014-10-14 07:29:47
keijitakeda
@keijitakeda
@ockeghem ...私自身は現在パスワードリストが市場で流通しパスワード漏洩からそれが攻撃者の手に渡り悪用されるまでに一定の期間を有する状況においては、それが労力に見合うかどうかは別として過去よりもパスワードの定期変更が意味を持つ場合が多いのではないかと考えているためです。
2014-10-15 21:43:17
keijitakeda
@keijitakeda
日本でパスワードリスト型攻撃による被害が多く発生し海外ではそれほど話題になっていない原因として、日本ではリスクベース認証がそれほど利用されていないという仮説を思いついた。(要検証)
2014-10-15 22:23:26
keijitakeda
@keijitakeda
@nakanishiyasuo 「サーバーが常にダダ漏れ状態、キーロガーが仕込まれている、肩越しに盗まれているなどです。」ような状態ですと複雑なパスワード、使い回しをしない。のいずれも効果がありませんが定期変更についてはそれらが悪用されるまでの間に変更が行われれば効果があります。
2014-10-16 10:51:33
keijitakeda
@keijitakeda
@nakanishiyasuo そこが明らかにしたいところでした。そもそも定期変更が意味なければコストを下げる工夫は無駄ですが、コストを下げることによってメリットがあるなら検討してみる意義があると考えます。
2014-10-16 16:50:27
keijitakeda
@keijitakeda
@nakanishiyasuo 対策にはそれぞれ対象脅威の想定があるかと思います。それらをバランスよく組み合わせることによって全体の対策レベルが上がります。そういう意味では提示された例では定期変更の対策がある場合とない場合ではある場合の方がカバーされる脅威の範囲が広いと言えます。
2014-10-16 18:08:22
keijitakeda
@keijitakeda
パスワードの定期変更が無意味であるという情報は多くの利用者にとって都合の良い情報である。これに対してパスワードの定期変更は無意味ではないという情報は多くの利用者にとって都合の悪い情報である。
2014-10-16 22:41:46
keijitakeda
@keijitakeda
そういう意味では事業者側に示すべきは「利用者に強いパスワードを設定してもらう」ではなく、生パスワードは保存せず十分な強度を持つハッシュ処理を行う、オンラインの推測攻撃への対策を行う、二要素認証またはリスクベース認証を導入するなどですかね。
2014-10-17 14:49:47
keijitakeda
@keijitakeda
パスワードリスト型攻撃の対策は利用者はパスワードを使い回し変更もしないという前提で考えるのが現実的な気がして来た。
2014-10-17 22:23:33
keijitakeda
@keijitakeda
多くの人はパスワードリスト等の情報漏洩が発生すると事業者はすぐ気がつくと思っているところが理解できない。実際の情報漏洩は悪用されるまで気がつかれないことが大半なのに。
2014-10-18 06:38:11
keijitakeda
@keijitakeda
(これまでも何度か書いていますが)パスワード定期変更がセキュリティリスクの低減効果を持つ(意味がある)かどうかということと、それを推奨すべきか否かは独立に考えるべき事項であると考えています。
2014-10-18 07:04:52
keijitakeda
@keijitakeda
自分がしたくない、気に入らないといった心情によって、実際には一定の条件でセキュリティ上のリスク低減効果などが「ある」ことが「無い」ことにされてしまうことは今後のセキュリティ対策の施策や技術を考えて行く上で悪影響を及ぼすと考えています。
2014-10-18 07:07:08